Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Kadr U2 A4 Ront
Kadr U2 A4 Ront
Ingeniería en Telemática
Administración de Redes
ES162004384
12 de agosto de 2019
Introducción
Identificar las características de administración de la seguridad aplicables a un diseño de red propuesto por tu docente en línea, con el objeto de
aportar la mayor parte de ideas posibles a la realización de la actividad, con base en la información que te proporcione tu facilitador, utilizando
todos los conceptos que has aprendido en esta unidad y en todas las asignaturas anteriores y relacionadas a ésta.
Analizar los dispositivos de la siguiente figura, al igual que todos los requerimientos que dicte la actividad.
En la imagen, se supone que tanto los usuarios internos como externos pueden acceder a los servidores DMZ, pero no necesitan comunicarse. En
algunos casos, los servidores DMZ necesitan abrir algún tipo de conexión a un host interno. Al mismo tiempo, se supone que los clientes internos
pueden acceder a Internet sin restricciones. Un buen ejemplo es el de los servidores Web en la DMZ, que necesitan comunicarse con un servidor
de bases de datos ubicado en la red interna, y en el que los clientes internos pueden acceder a Internet. Por lo tanto, ¿cuáles serían las
características de administración de la seguridad aplicables al diseño?
Considera las diferentes características de seguridad las cuales se pueden basar en:
• Elementos de red
• Tecnología de interconexión
• Protocolos
• Restricciones
• Políticas
• Escenarios
DESARROLLO
VLAN
VLAN.
Pueden ayudar a aumentar la seguridad de la red
Características:
• Crean una topología virtual independiente de la física
• Permiten agrupar a los usuarios en grupos de trabajo
flexibles
• Funcionan en los niveles 2 y 3 de OSI
Enlace WAN
En un enlace wan se requieren switches y routers
Intervienen hardware para el enlace como switches, Routers, tarjetasc NIC.
Switch conmutador Router de seguridad, encaminador
Proporciona una confiabilidad, escalabilidad y conjunto de capacidades sin igual en la industria, o presentan una arquitectura de
seguridad híbrida innovadora -que incluye inspección de paquetes que conserva su información de estado y funciones VPN con IPSec
integrada
Responde a amenazas
Este tipo de seguridad ejecuta: Orígenes:
Interrupción Personas.
Intercepción y Amenazas lógicas
Modificación Físicas:
Catástrofes
Así como la opción de: Prevención, Detección y Recuperación.
Se encarga de inspeccionar los paquetes, así como también su procedencia y destino. Se aplican desde la capa de Red hasta la de
Aplicaciones.
Host
Vulnerabilidad en host
Control inadecuado en el router.
La filtración de información puede proporcionar al atacante la información del sistema operativo y de la aplicación, los usuarios,
grupos, servicios compartidos, información DNS, a través de transferencia de zona, y servicios en ejecución, tales como: SNMP,
finger, SMTP, telnet, ruser, sunrpc, netBIOS.
Nessus sistema Linux, escanea los puertos que el host tenga abiertos
De este modo se pueden localizar los puertos abiertos en el host.
Segmentos
Detección de los puertos y servicios que se ejecutan en los equipos que pertenecen a un rango de red específico.
Los equipos expuestos a internet, juegan el rol más crítico.
Se recomienda el uso del escáner de vulnerabilidades NeXpose
Puerto TCP
El puerto TCP se encuentra expuesto a:
Sniffer
Ataque de Fuerza Bruta
Ataque CGI
Buffer Oveflow
Denegación de Servicio (DoS)
Recogida de Información
Punto de Acceso
Posibilidad de sniffer.
Ejemplo de una ACLs estándar.
• Ejemplo (permite acceso a todos los hosts de las 3 redes especificadas):
Router(config)# access-list 1 permit 192.5.34.0 0.0.0.255
Router(config)# access-list 1 permit 128.88.0.0 0.0.255.255
Router(config)# access-list 1 permit 36.0.0.0 0.255.255.255
Nota: cualquier otro acceso está implícitamente denegado)
(access-list 1 deny any)
• Proporciona un nivel básico de seguridad de acceso a la red en función de distintos parámetros
La implementación de las VLAN puede optimizar el tráfico en la red beneficiando a los usuarios separados por
grupos, gracias a este y así lograr una mejor administración de la red.
a). Crear VLAN por área funcional para reducir dominios de broadcast.
Las redes LAN Ethernet están sometidas a múltiples limitaciones fruto de utilizar un medio compartido
sometido a ruido y atenuaciones, y la existencia de condiciones operativas como la presencia potencial de
colisiones y una ventana de tiempo asociada (ventana de colisiones).
La forma de expandir una red LAN Ethernet sin afectar la performance de esta, es separando segmentos de
red. Hay 2 formas de segmentar la red.
Dominio de
broadcast
Dominio de
Colisión
Dominio de
Colisión
1.-Dividir Dominios de Colisión. Es un segmento de red que comparte el ancho de banda disponible entre
múltiples dispositivos terminales; como consecuencia cuando dos o más dispositivos conectados al mismo
segmento intentan comunicarse entre sí es posible que se produzca una colisión. En este sentido es deseable
reducir el tamaño de los dominios de colisión, para lo cual se deben utilizar dispositivos que operan en la capa
2 o superiores del modelo OSI.
2.-Dividir Dominios de Broadcast. Se trata de una porción de red en la que, a pesar de que pudo haber sido
segmentada en capa 2 es aún una unidad a nivel de capa 3 por lo que un paquete de broadcast es transmitido
a todos los puertos conectados. Si bien los switches filtran la mayoría de las tramas según las direcciones MAC
de destino, no hacen lo mismo con las tramas de broadcast. Un conjunto de switches interconectados forma
un dominio de broadcast simple. Para dividir dominios de broadcast es necesario implementar VLANs o
dispositivos que operan en la capa 3 del modelo OSI, tales como switches multilayer o routers.
b) Segmentar la red de área local haciendo uso de VLANS por configuración de puertos.
Ataque de suplantación del switch.
Uno de los ataques comunes en VLANs suele ser el ataque de suplantación de switch y este se basa en que el
atacante conecta un cable en un puerto del switch, que este configurado de manera predeterminada como
dynamic desirable y en el extremo opuesto del cable simule un enlace troncal (802.1q) y de esta manera
poder acceder a todos los paquetes de las distintas VLANs. Es por ello que se recomienda que los puertos no
utilizados estén apagados con el comando shutdown y además tengan un modo acceso predefinido por el
usuario, que no sea dynamic desirable.
Para realizar este ataque sería tan fácil como ejecutar Yersinia, y enviar algunas tramas DTP al Switch y hacer
que este convierta el enlace en troncal.
Políticas en la red.
Sin una política de seguridad, la disponibilidad de su red puede verse comprometida. La
política comienza por evaluar el riesgo para la red y la creación de un equipo de respuesta.
La continuación de la política requiere la implementación de una práctica de
administración del cambio en la seguridad y supervisión de la red para detectar
violaciones de seguridad. Por último, el proceso de revisión del estudio modifica la política
existente y se adapta a las lecciones aprendidas.
Preparación
Antes de implementar una política de seguridad, debe hacer lo siguiente:
14
3. Sistemas de Alto Riesgo o datos que, e verse comprometidos (datos observados
por el personal no autorizado, datos corruptos, o datos perdidos) causarían una
interrupción extrema en el negocio.
4. Asignar un nivel de riesgo a cada uno de los siguientes: dispositivos de núcleo de la
red, dispositivos de distribución de redes, dispositivos de acceso a redes,
dispositivos de supervisión de redes (monitores SNMP y sondeos RMON),
dispositivos de seguridad de la red (RADIUS y TACACS), sistemas del correo
electrónico, servidores de archivo de red, servidores de impresión de redes,
servidores de aplicación de redes (DN y DHCP), servidores de aplicación de datos
(Oracle u otras aplicaciones autónomas), equipos de escritorio, y otros dispositivos
(servidores de impresión y equipos de fax independientes de la red).
Los equipos de red tal como switches, routers, servidores DNS, y servidores DHCP
permiten acceso adicional a la red y, por lo tanto, son dispositivos de riesgo moderado o
alto. También es posible que la corrupción de este equipo cause el colapso de la red. Dicha
falla puede ser extremadamente perjudicial para el negocio.
Una vez asignado un nivel de riesgo, es necesario identificar los tipos de usuarios de ese
sistema. Los cinco tipos más comunes de usuarios son:
Usuarios internos de los administradores responsables de los recursos de red.
Usuarios internos privilegiados con necesidad de mayor acceso.
Usuarios internos de usuarios con acceso general.
Usuarios externos de socios con necesidad de acceder a algunos recursos.
Otros usuarios externos o clientes.
Realizar un análisis de riesgo.
Prevención.
15
deben extraer archivos de la red interna”. Deberá definir un conjunto único de requisitos
para su organización.
16
El servidor DHCP tiene que estar configurado en el interface que une la red a la que va a
servir.
La configuración en PT se hace desde el CLI. Para posicionarse en el sitio adecuado
podemos, desde el entorno gráfico, situarnos en "config/interfaceX/X/cli". En el CLI nos
debe salir el promot Router(config)#
Imprescindible utilizar los comandos siguientes:
ip dhcp pool nombre_de_pool (a partir de aqui sale el promt
Router(dhcp-config)#
network dirección_red/subred
default-router ip_de_router
dns-server ip_servidor_dns
Activar configuración dinámica en aquellos elementos que la tengan. Hay que recorrer los
ordenadores con configuración dinámica y, en la configuración TCP/IP, poner que
obtengan una dirección automáticamente. En PT, esto se hace marcando el radio-button
DHCP.
Configurar el enrutamiento. Las redes adyacententes (que están a ambos lados de un
mismo router) se podrían comunicar si ese router fuera la puerta de enlace de los
ordenadores de las 2 redes.
17
Conclusiones
La seguridad de redes tiene una gran importancia en los sistemas informáticos ya que con
estas normas y políticas de seguridad casi podemos estar seguros para hacer
transacciones de cualquier clase, los usuarios actuales saben día a día nuevas formas de
burlar esta seguridad por lo que representan cierta amenaza a la seguridad para ello se
realizan nuevas normas de seguridad para proteger nuestra información.
Es necesario que la seguridad en redes sea bien utilizada para su mayor provecho y evitar
el mal uso de esta.
18
Referencias:
19